Google weitet Security-Prämienprogramm auf Open Source aus

Google dehnt seine Prämienprogramme aus, um die Sicherheit von Open-Source-Projekten zu fördern, die von grundlegender Bedeutung für das Internet sind. Das neue Programm „Patch Rewards“ belohnt aber nicht das bloße Aufspüren von Bugs, sondern ihre praktische Behebung.

Bisher konzentrierten sich Googles Programme auf die Aufdeckung von Schwachstellen in seinem Browser Chrome, seinen Diensten und Websites. In diesem Jahr verfünffachte es die Prämien für Entdecker von Chromium-Lücken. Seit dem Start seiner Prämienprogramme im Jahr 2010 zahlte es über 2 Millionen Dollar aus.

„Wir dachten daran, einfach ein Bugs-Finden-Programm für Open-Source-Software aufzulegen, aber das hätte leicht danebengehen können“, schreibt Michael Zalewski von Googles Security-Team in einem Blogeintrag. „Bug-Prämien bewirken neben zutreffenden Berichten viel bedeutungslosen Traffic – ausreichend, um die freiwilligen Mitarbeiter eines Projekts völlig zu überwältigen.“ Darüber hinaus erfordere die Lösung eines Fehlers oft mehr Aufwand, als ihn zu finden.

„Wir entschieden uns daher, etwas Neues zu versuchen – durch finanzielle Anreize für bodenständige, proaktive Verbesserungen, die über die bloße Behebung eines bekannten Sicherheitsfehlers hinausgehen“, heißt es weiter. Das Programm soll allmählich eingeführt und zunehmend erweitert werden. Zunächst ist es auf eine Anzahl essenzieller Projekte begrenzt, zu denen OpenSSL, zlib, OpenSSH, BIND, ISC DHCP, libjpeg, libpng und giflib gehören. Von Anfang an eingebunden sind mit Chromium und Blink auch die Open-Source-Grundlagen von Google Chrome – sowie sicherheitskritische und häufig genutzte Komponenten des Linux-Kernels einschließlich KVM.

Später soll das Programm auf Apache httpd, lighttpd, nginx, Sendmail, Postfix, Exim, GCC, binutils, llvm und OpenVPN erweitert werden. Die Patches sollen zunächst direkt an die Projekt-Maintainer geschickt werden – und erst nach ihrer Akzeptanz eine Meldung an security-patches@google.com erfolgen. Sofern die Einreichung eine „belegbare positive Auswirkung auf die Sicherheit des Projekts“ hat, stellt Google Prämien in Höhe von jeweils 500 Dollar bis 3133,70 Dollar in Aussicht.

Die offiziellen Bedingungen führen aus, dass es sich nicht um einen Wettbewerb, sondern um ein experimentelles Prämienprogramm handelt. Inwieweit Belohnungen ausgezahlt werden, liege daher vollständig im Ermessen von Google.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago